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Resumo 

Faremos uma breve introdução ao conceito de resíduos quadráticos, 
descrevendo em seguida um algoritmo probabilístico de fatoração. Tal 
procedimento reforça a tese da equivalência entre quebrar o RSA e fatorar 
o módulo n, mas ressaltamos que tal equivalência ainda não foi compro¬ 
vada. Isto nos remete a uma questão crucial: saber se a segurança do 
RSA 1 de fato reside na dificuldade para fatorar números muito grandes. 
Se a tese da equivalência fosse refutada, quebrar o RSA poderia não ser 
tão difícil. Por enquanto, o problema está em aberto, e o RSA continua 
sendo seguro, pois quebrá-lo ainda é tão difícil quanto fatorar. 


1 Resíduos quadráticos 

No conjunto Z*, onde p é um número primo maior que 2, alguns elementos 
possuem uma característica especial: são equivalentes ao quadrado de algum 
outro elemento de Z*, como o que acontece com 4 em Zí, pois 

4 = 3 2 (mod 5) 

Tais elementos são denominados resíduos quadráticos. Apresentaremos a 
definição geral deste conceito e enunciaremos de forma breve algumas de suas 
propriedades fundamentais. 

Definição 1.1 Seja p > 2 um número primo e ã £ Z*. Dizemos que õ é um 
resíduo quadrático módulo p se 

a = b 2 (mod p) 


para algum b £ Z*. 

Por exemplo, em Z£ temos os seguintes quadrados: 

l 2 ee 1 (mod 7) 

2 2 = 4 (mod 7) 

3 2 = 9 = 2 (mod 7) 

X A segurança do RSA depende ainda de certos detalhes um pouco mais sutis [3], como a 
escolha adequada dos fatores de n, e também de outros parâmetros. Se estes detalhes não 
forem levados em conta, vulnerabilidades no sistema poderão ser exploradas [2]. 





Dizemos assim que T, 2 e 4 são resíduos quadráticos em Z£. Os demais 
elementos, 3, 5 e 6, são resíduos não quadráticos módulo 7. 

Observe que, para calcular os resíduos quadráticos módulo 7, tomamos os 
quadrados apenas dos três primeiros elementos de ZÇ. Por que ignoramos os 
demais elementos? Ora, é fácil verificar o seguinte: 

4 2 = 16 = 2 (mod 7) 

5 2 = 25 = 4 (mod 7) 

6 2 = 36 = 1 (mod 7) 

Obtivemos os mesmos resultados! Isto não é mera coincidência. Vejamos mais 
um exemplo, em Z* l5 tomando apenas os quadrados dos cinco primeiros ele¬ 
mentos: 


l 2 = 1 (mod 11) 

2 2 = 4 (mod 11) 

3 2 = 9 (mod 11) 

4 2 = 16 = 5 (mod 11) 

5 2 = 25 = 3 (mod 11) 

E agora, elevando ao quadrado os demais elementos: 

6 2 = 36 = 3 (mod 11) 

7 2 = 49 = 5 (mod 11) 

8 2 = 64 = 9 (mod 11) 

9 2 = 81 = 4 (mod 11) 

10 2 = 100 = 1 (mod 11) 

Mais uma vez, obtivemos os mesmos resíduos quadráticos: 1, 3, 4, 5 e 9. 

Estamos vendo que, em Z£, que possui seis elementos, temos exatamente 
três resíduos quadráticos, e em Z* l5 que possui dez elementos, são cinco resíduos 
quadráticos. Podemos generalizar este fato, enunciando o seguinte 

Lema 1.1 Dado um número primo p > 2, exatamente metade dos elementos 
de Z* são resíduos quadráticos. 

Demonstração: Vamos denotar por Õ 2 ,..., ^jggí os elementos de Z*, com 
ai = 1, ü 2 = 2, ..., Op_i = p — 1. É fácil observar que 

Ol + a p -1 = Ü2 + a p -2 = ... = p 

Ou seja, a soma de elementos equidistantes dos extremos é sempre igual a p. 
Por exemplo, em Zjq, temos 

1 + 10 = 2 + 9 = 3 + 8 = 4 + 7 = 5 + 6 = 11 
Então podemos concluir que 


a k = -a p - k (mod p) 


para todo k entre lep-1. 
Logo: 


( a k ) 2 = (—a p - k ) 2 = (a p - k ) 2 (mod p) 




Ou seja, elevando ao quadrado dois elementos equidistantes dos extremos, o 
resultado módulo p será o mesmo. Como Z* tem exatamente p — 1 elementos, 
teremos (p — l)/2 resíduos quadráticos, e a mesma quantidade de resíduos não 
quadráticos. Assim, para determinar os quadrados em Z*, basta calcular a 
forma reduzida de ò 2 (mod p) para b = 1,2,..., (p — l)/2. 

QED 

A seguir, enunciaremos uma propriedade 2 que nos permitirá, dado um nú¬ 
mero primo p, caracterizar se um inteiro é ou não resíduo quadrático módulo 
í^- 

Propriedade 1.1 Seja um número primo p> 2 e a € Z tal que mdc(p, a) = 1. 
Então 

a (p-l)/2 = ± 1 ( mod p) 

Em particular, temos 

a (p-l)/2 = i ( mod p ) 

se a for um resíduo quadrático módulo p. Caso contrário, 

0 (p-i)/2 = _i ( mod p) 

Vale a pena ressaltar aqui nossa hipótese principal: p é um número primo. 
A idéia agora é mostrar que, quando o módulo for um inteiro n, composto, a 
propriedade anterior será falsa para pelo menos metade dos elementos de Z*, 
desde que possamos encontrar um inteiro a que satisfaça 

a (n-l)/2 ^ ( mod n ) 

Proposição 1.1 Seja n um número ímpar, composto. Se pudermos assegurar 
a existência de pelo menos um inteiro a, primo com n, tal que 

a (n-l)/2 ^ ( mod n ) 

então isto deve ocorrer para pelo menos metade dos elementos de Z*. 
Demonstração: Sejam a\ e a-2 inteiros, tais que 
a\ =ijli! (mod n) 
e 

<i-2 (mod n) 

Então 

(aia2)^ ra_1 ^ 2 = (ai)( n-1 )/ 2 (a2)(" -1 )/ 2 = ±(a2)^" -1 ^ 2 ^ ±1 (mod n ) 

Suponha que os inteiros òi, 62, •••, bk satisfaçam 

(6j)(" _1 )/ 2 = ±1 (mod n) * = 1,2, ...,k 

2 Na verdade, trata-se de um teorema, cuja demonstração omitiremos, por envolver detalhes 
que não serão abordados aqui. Para obter maiores informações, consulte [1]. 
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Pelo que acabamos de verificar, se existir um inteiro a tal que 
a (n-i)/i ^ _|_-l ( mo d n) 


teremos 


(abi)( n 1 )/ 2 ^ ±1 (mod n) i=l,2,...,k 

Ou seja, garantindo a existência de pelo menos um inteiro que não satisfaça 
a Propriedade 1.1, a quantidade de elementos para os quais ela é falsa será no 
mínimo igual à quantidade daqueles para os quais ela é verdadeira. 

Portanto, pelo menos metade dos elementos de Z*, onde n é um número 
ímpar composto, não satisfazem a Propriedade 1.1, desde que exista um inteiro 
a que também não a satisfaça. O que afirmamos, sem demonstração 3 , é que 
sempre podemos garantir a existência de tal a. 


QED 

2 Fatoração de Inteiros e Criptoanálise do RSA 

Antes de dar início à nossa discussão, ressaltemos alguns aspectos importantes 
da criptoanálise do RSA. Em primeiro lugar, é preciso ter em mente que fatorar 
o módulo n equivale a expor a chave secreta d. De fato, uma vez obtida a 
fatoração de n, podemos utilizar p(n) e a chave pública e para recuperar o valor 
de d, lembrando que ed = 1 (mod No entanto, a fatoração direta de n 

é impraticável, já que n = pq, onde p e q são números primos muito grandes, 
mas se pudermos recuperar o valor de então poderemos obter os fatores 

de n, já que ip(ri) = (p — \)(q — 1). Note que, neste caso, estamos supondo a 
existência de um método que permita calcular ip(n) sem fatorar n. 

Nossa abordagem partirá do pressuposto de que tenha sido encontrada uma 
maneira de recuperar diretamente o valor de d, a partir de n e e. Nosso objetivo 
é demonstrar que isto também equivale a fatorar n, pois, uma vez obtido o 
valor de d, teremos encontrado um múltiplo de <p{n). Isto não é tão bom quanto 
conhecer o próprio ip(n ), mas nos permite a fatoração por meio de um método 
probabilístico. Repare que estamos no centro de uma importante discussão, que 
consiste em saber se fatorar o módulo n realmente equivale a quebrar o RSA. 
O problema que permanece em aberto é o da possibilidade de se recuperar uma 
mensagem criptografada, sem que seja necessário encontrar a chave secreta d. 
Se isto fosse possível, quebrar o RSA e fatorar n poderiam não ser problemas 
equivalentes. 

Então, suponha que tenhamos conseguido quebrar um sistema RSA, encon¬ 
trando um inteiro positivo d que satisfaça 

ed = 1 (mod p(n)) 

Logo, existe um inteiro k tal que ed — 1 = kip(ri). Pelo Teorema de Euler 
sabemos que 

a ¥>(n) = i ( mo d n), para todo a £ Z*. 


Então: 


3 Consulte [lj, página 52, exercício 21. 



= (a^) fc = 1 (mod n) 


para todo a primo com n. 

Façamos ed — 1 = m. Observe que, como p é ímpar, ip(ri) é par. Logo, m 
também é. 

Uma vez que conheçamos tal m, o próximo passo é verificar se m/2 satisfaz 
a mesma condição, isto é, se 

a ™! 2 = 1 (mod n) 


para todo a primo com n. 

Seria inviável testar esta congruência para todo «eZ*. Por isso, escolhemos 
aleatoriamente diversos valores de a para fazer o teste. Se em todos os casos 
a congruência for verificada, então será bastante provável que isto ocorra para 
todo a primo com n, e assim poderemos substituir m por m/2. Continuamos 
dividindo o expoente por 2, enquanto a congruência for satisfeita. 

Suponha então que, para todo a primo com n, seja válida a relação 

a m = 1 (mod n) 

mas que tenhamos encontrado um valor de a tal que 

a m/2 ^ i ( moc i n ) 

Isto ocorrerá para pelo menos metade dos elementos de Z*. De fato, se os 
inteiros òi, 62, ..., bk satisfazem 

(bi) m / 2 = 1 (mod n) í s= 1,2,..., k 

então 

(aòj) m / 2 = o m / 2 ^ 1 (mod n) i = l,2,...,k 

Portanto, a quantidade de elementos que não satisfazem a congruência é no 
mínimo igual à quantidade daqueles para os quais ela se verifica. 

Assim, quando soubermos que a m = 1 (mod n) para todo a primo com n, 
e encontrarmos algum a £ Z* tal que 

a m / 2 ^ 1 (mod n) 

teremos duas possibilidades: 

1. m/2 é múltiplo de p — 1 ou q — 1, mas não de ambos. Digamos que seja 
múltiplo somente de p — 1. Neste caso, sempre teremos 

a m / 2 = 1 (mod p) 

De fato, sabemos, por Fermat, que a p_1 = 1 (mod p). Como m/2 é 
múltiplo de p — 1, existe um inteiro k tal que m/2 = k(p — 1). Logo 


l / 2 = (a p-1 ) fe = 1 (mod p) 





Por outro lado, vimos na seção anterior que apenas metade dos elemen¬ 
tos de Z* satisfaz o/ 9-1 )/ 2 = 1 (mod q), enquanto a outra metade deve 
satisfazer a*- 9-1 )/ 2 = —1 (mod q). 

O que mostraremos agora é um pouco diferente: metade dos elementos de 
Z* devem satisfazer a congruência 

a m / 2 = 1 (mod q) 

e para os demais, teremos 

a m/2 = _i (mod q) 

Isto porque, se a for resíduo quadrático, existe algum inteiro b tal que 
a = b 2 (mod q). Logo: 

a m/2 =}/n = \ (mod q) 

Por outro lado, sabemos que 

a m — 1 = (a m / 2 — l)(a m / 2 + 1) 

Estamos supondo que a m = 1 (mod n) para todo a € Z*. Ou seja, 
a m — lê múltiplo de n, logo é múltiplo de q. Então q sempre divide 
(a m / 2 — l)(a m / 2 + 1). Se o não for resíduo quadrático, q não pode dividir 
a m / 2 — 1 , logo ele deve dividir a m / 2 + 1 , ou seja, a m / 2 = — 1 (mod q). 

2. m/2 não é múltiplo de p — 1 nem de q — 1. Neste caso, pelo mesmo 
argumento utilizado anteriormente, teremos 

a m / 2 = 1 (mod p), para metade dos elementos de Z* 
e, para os demais, 

a m/2 = _ i (mod p) 

O mesmo se aplica a Z*. 

Então podemos resumir nossa análise com as seguintes tabelas de probabili¬ 
dade: 

Para o primeiro caso, em que m/2 é múltiplo de p — 1, mas não de q — 1: 


oT/2 = x ( mod 

100% 

a m/2 = ( mod ç) 

50% 

Probabilidade conjunta 

50% 


Já no segundo caso, em que m/2 não é múltiplo nem de p — 1 nem de q — 1, 
temos: 


a m / 2 = 1 (mod p) 

50% 

a m / 2 = _1 (mod p) 

50% 

a m ! 2 = —1 (mod q) 

50% 

a m/2 = i (mod q) 

50% 

Probabilidade conjunta 

25% 

Probabilidade conjunta 

25% 


Repare que, em ambos os casos, a probabilidade de que a m / 2 — 1 seja múltiplo 
de um dos primos, mas não do outro, é de 50%, para cada valor de a que 
testarmos. Assim, em duas tentativas, esperamos encontrar um a £ Z* tal que 
a m / 2 — 1 seja múltiplo de somente um dos fatores de n, digamos p. Então, a 
fatoração de n poderá ser obtida, pois mdc(o m / 2 — 1, n) = p. 
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3 Conclusões 


O procedimento que acabamos de descrever constitui um exemplo de algoritmo 
probabilístico, e é mais um argumento apontando na direção de que fatorar o 
módulo n e quebrar o RSA são problemas equivalentes, embora ainda não seja 
descartada a possibilidade de se encontrar um método para recuperação de uma 
mensagem criptografada, sem que seja necessário fatorar n. Como já foi dito 
aqui, isto só seria possível se tal método excluísse a necessidade de recuperar o 
valor da chave secreta d, o que até hoje não foi realizado. 

Os resultados obtidos aqui devem ser interpretados da seguinte maneira: 
partindo de um método (hipotético) de obtenção da chave secreta d, chegamos 
a um algoritmo de fatoração. Como já dissemos, a recíproca é verdadeira, isto é, 
se fatorarmos n, poderemos recuperar d. Assim mostramos que as duas coisas 
são equivalentes, ou seja, encontrar o valor de d é tão difícil quanto fatorar 
números muito grandes, o que nas circunstâncias atuais significa dizer muito 
difícil. Então, a pergunta que permanece sem resposta é: realmente precisamos 
do valor de d para quebrar o RSA? Se a resposta for negativa, quebrar o RSA é 
realmente tão difícil? 

Repare que em nenhum momento afirmamos que seria fácil quebrar o RSA, 
se para isto não fosse necessário encontrar d. Por outro lado, se precisamos 
do expoente secreto para quebrar o sistema, então esta é uma tarefa difícil, 
porque até hoje não foi desenvolvido nenhum método eficiente de fatoração. Ou 
seja, quebrar o RSA ainda é tão difícil quanto fatorar. Alguém até poderia 
descobrir uma maneira, por exemplo, de calcular diretamente o valor de r a 
partir da forma reduzida de x e (mod n), sem precisar encontrar d, mas nada 
nos garante que tal método seria eficiente. Ou seja, mesmo se pudéssemos 
afirmar que fatorar n e quebrar o RSA não são problemas equivalentes, isto não 
implicaria necessariamente em dizer que o RSA não é seguro. 

Em [4], Boneh e Venkatesan mostram que, sob certas condições, não há equi¬ 
valência entre fatoração e a quebra do RSA, quando o expoente de codificação 
tem um valor baixo. Contudo, eles fazem questão de enfatizar que suas conclu¬ 
sões não apontam nenhuma vulnerabilidade do sistema. Portanto, ainda não 
temos nenhum resultado que ponha em xeque a segurança do RSA. 
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